Ce que l'affaire Stryker révèle sur la stratégie offensive de Handala.
Lire le blog

Ce que l'attaque Stryker révèle sur la stratégie du groupe Handala. Lire l'article →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
  1. Blogs
    >
  2. EDR

L'EDR ne suffit pas : Pourquoi les RSSI tournés vers l'avenir se tournent vers le réseau et l'identité

April 9, 2026
4/9/2026
Mark Wojtasiak
Vice-président directeur de la recherche et de la stratégie produits
L'EDR ne suffit pas : Pourquoi les RSSI tournés vers l'avenir se tournent vers le réseau et l'identité

Je suis un penseur simple, alors commençons simplement.

En tant que responsables de la sécurité, nous partageons tous les mêmes trois vérités :

  • Nous voulonsassurer la sécurité de notre personnel et de notre marque.
  • Ce qui nousfait le plus souffrir, c'est l'incertitude.
  • Nous devonsmettre un terme aux violations de données.

Voilà. Trois vérités humaines qui tranchent avec le bruit des diapositives des vendeurs, des rapports d'analystes et des présentations de produits.

Mais voici le problème : nos réseaux modernes ont dépassé nos anciens modes de pensée, alors que les attaques se produisent à la vitesse de l'IA.

Le réseau moderne = une surface d'attaque géante

Il fut un temps où le "réseau" se résumait à un centre de données et à quelques bureaux. Vous aviez un périmètre. On construisait un fossé. On plaçait des EDR sur les points d'extrémité pour empêcher les attaquants d'entrer.

Ce monde a disparu.

Aujourd'hui, l'entreprise moderne axée sur l'IA est hybride, sans frontières et en pleine expansion :

  • Centres de données et charges de travail cloud .
  • Plateformes SaaS et outils de collaboration.
  • Identités – humains, machines, agents IA.
  • Les travailleurs à distance et les SASE.
  • IoT et OT qui n'ont jamais été conçues avec la sécurité à l'esprit.

Les pirates ne voient pas dans ce chaos des silos de terminaux, cloud ou d’identités. Ils y voientune immense surface d’attaque interconnectée. Et ils n’ont qu’un seul objectif :s’introduire dans votre réseau. Désormais, ils peuvent y parvenir à la vitesse de l’IA.

Le Pitchfork des Attackers

Mais voici le plus étonnant : les pirates n’ont pas besoin d’un arsenal sophistiqué pour y parvenir. Ils maîtrisent les trois volets de ce que j’appellela « fourche des pirates »:

  • Désactivezvoscommandes.
  • Évitez de vousmettre sur la défensive.
  • ‍Trompezvos outils.

C'est tout. Avec cette fourche, ils peuvent contourner la prévention des endpoint , passer l'EDR et opérer dans votre environnement hybride sans être détectés.

Si vous pensez que cela semble dramatique, regardons les données :

  • ‍En 2025,50 % desviolations de données majeures ont été commises par des pirates qui ont contourné endpoint .
  • ‍40 % desviolations concernaient plusieurs domaines à la fois : endpoint, réseau, cloud et identités.
  • Selon CrowdStrike, le délai moyen entre l'infiltration et le déplacement latéral est de48 minutes.
  • Et aujourd'hui, les pirates automatisent une grande partie du processus d'attaque.

Je pose donc une question évidente : si des attaquants peuvent désactiver, éviter ou tromper votre EDR en moins d'une heure, êtes-vous vraiment en sécurité ?

Pourquoi le signal est-il mauvais ?

Si vous êtes un analyste SOC, vous connaissez déjà la réponse. Nous avons investi dans des piles solides :

  • Pare-feu, IDS/IPS sur le réseau.
  • IAM, PAM, MFA sur l'identité.
  • CASB, CSPM dans le cloud.
  • EPP, EDR sur les points finaux.

Tout cela est solide. Tout cela est indispensable. Mais c'est aussi…tout cela est cloisonné. Chaque outil génère des alertes. Chacun ajoute du bruit. Les analystes croulent sous les faux positifs. Et le « signal » dont nous avons besoin pour détecter les véritables attaques se perd dans la masse. Le résultat ? L'incertitude.

On nous dit de raisonner en termes de multiples surfaces d'attaque. Les pirates, eux, ne le font pas. Ils ne voient qu'une seule surface. Et si leur objectif est de s'introduire dans votre réseau et que leur stratégie consiste à s'emparer d'une identité, notre stratégie de défense ne devrait-elle pas alors reposer surle réseau et l'identité?

La sécurité a deux faces

Vous vous souvenez de cette vérité fondamentale ? Nous aspirons à la sécurité. Mais la sécurité a deux facettes :

  1. ‍Résilience avant l'intrusion: empêcher les attaquants de s'introduire dans le système. (C'est ce qu'on appelle l'EDR.)
  2. ‍Résilience après une intrusion: bloquer les attaquants déjà présents dans le système. (C'est là qu'interviennent le NDR et la gestion des identités.)

La CED est essentielle. Cela ne fait aucun doute. Mais il n'est pas infaillible. La fourche le prouve. Les NDR et les détections d'identité couvrent ce que l'EDR manque :

  • Mouvement latéral à travers le trafic est-ouest.
  • Abus d'identité dans les services cloud .
  • Les précurseurs des ransomwares dans l'IdO et les appareils non gérés.
  • Des comportements anormaux qui ne déclenchent pas de signature mais qui crient "attaquant".

Ce n'est pas de la théorie. Les RSSI du secteur de la santé l'ont fait pour protéger la sécurité des patients. Les détaillants l'ont fait pour sécuriser les points de vente et l'IdO. Les fabricants l'ont fait pour défendre les chaînes d'approvisionnement. Les résultats ? Une visibilité qu'ils n'avaient pas. Une réduction du bruit inimaginable. Et la vitesse dont ils avaient désespérément besoin.

Signal post-compromis à Speed is Everything

Car voici l'autre triste réalité : les défenseurs sont lents. Des études montrent qu'il faut en moyenne292 joursaux défenseurspouridentifier et contenir une attaque. De leur côté, les attaquants ont besoin de moins d'une heure pour se déplacer latéralement. Pourquoi ? Parce que la rapidité, c'est difficile.

  • Recherche.
  • Moniteur.
  • Corréler.
  • Triage.
  • Alerte.
  • Escalade.
  • Enquêter.
  • Répondre.

Les systèmes basés sur des règles ne parviennent pas à suivre le rythme. Les analystes ne peuvent pas faire face à l'augmentation du volume de travail. La charge de travail est écrasante. Seule l'IA permet d'atteindre la vitesse nécessaire, en automatisant la corrélation, le triage et la hiérarchisation. En transformant le bruit en récit. En fournissantaux analystes des signaux d'attaque à la même vitesse que celle à laquelle opèrent les pirates.

Le RSSI tourné vers l'avenir

Nous y voilà. Réseaux modernes, attaques modernes, problèmes modernes.

Les RSSI tournés vers l'avenir n'achètent pas de nouveaux outils à jeter au mur. Ils modifient les fondements de leur stratégie de résilience :

  • Des signaux cloisonnés àdes signaux unifiés de réseau et d'identité.
  • De la prévention statiqueà l'hypothèse d'une compromission.
  • Des règles et du bruit àune IA comportementale quiapporte clarté et rapidité.

Parce qu'arrêter les brèches n'est plus une question de prévention parfaite. Il s'agit d'une détection et d'une réponse résilientes une fois que les attaquants sont entrés.

Ma pensée simple

J'ai dit que j'avais une façon de penser simple, alors terminons simplement. Nous sommes des êtres humains. Nous recherchons la sécurité. L'incertitude nous fait souffrir. Nous devons mettre un terme aux failles de sécurité. Notre capacité à faire preuve de résilience repose sur trois éléments : observabilité + signal + contrôle.

  • Observabilité: réseau, identité, Cloud Endpoint .
  • Signal: un système de signalement d'attaques fondé sur le réseau et l'identité, et non sur des outils cloisonnés.
  • ‍Contrôle: une vitesse pilotée par l'IA qui renverse la situation au détriment de l'attaquant.

C'est ainsi que les RSSI tournés vers l'avenir neutralisent la fourche des attaquants.

Dernière réflexion : Pourquoi la sécurité des réseaux et des identités est l'avenir

Le réseau moderne est sans frontières. La fourche des attaquants est simple mais mortelle. L'EDR seul n'est pas suffisant. Posez-vous donc la question suivante : votre signal d'attaque est-il enraciné là où les attaquants opèrent réellement - dans le réseau et avec une identité ? Car c'est là que se trouvent la sécurité, la certitude et la résilience.

Sources :

  • Présentation Gartner SRM à Londres : L'EDR ne suffit pas – Renforcer la résilience face aux attaques modernes grâce à la sécurité des réseaux et des identités
  • Verizon, CrowdStrike, IBM, Mandiant, Zscaler, Cisco, Palo Alto — données relatives aux violations de sécurité et aux défaillances endpoint
  • Rapport mondial sur les menaces 2025 de CrowdStrike — en moyenne 48 minutes entre l'infiltration et le déplacement latéral
  • Vectra AI, État des lieux de la détection et de la réponse aux menaces – Le dilemme des défenseurs (2024, 2023) — Difficultés rencontrées par les analystes SOC, incertitudes et défis liés à la clarté des signaux

Foire aux questions